Communication du 29 février de la Commission européenne sur son site web
Le 29 février 2016, les États-Unis et l’Union Européenne ont rendu publiques 128 pages couvrant les éléments du Bouclier de la Vie Privé (EU-U.S. Privacy Shield materials), précisant le cadre convenu le 2 février (Voir notre article Le Safe Harbor est mort… Peut-on dire « vive le Privacy Shield » (le bouclier de protection de la vie privée) ?).
Désigné comme le « Privacy Shield Package » ou « Paquet Bouclier de la Vie Privée » dans la lettre du 23 février 2016 de la secrétaire du commerce américain, Mme Penny Pritzger, à Mme Véra Jourova Commissaire européenne[1], le « paquet » repose sur une série de « principes » établis par le département du commerce américain.
Auto-certification
Comme pour le Safe Harbor, une société américaine souhaitant bénéficier du Privacy Shield pour légitimer le transfert des données personnelles de l’UE vers les USA, doit certifier auprès du département du commerce américain (ou l’organisme qui le représentera) qu’elle adhère audits principes.
À cet effet, la société devra, entre autres, se soumettre aux pouvoirs de contrôle et de sanction de la Federal Trade Commission (« FTC »), du département du transport et de tout autre organisme public qui « assurera effectivement le respect des Principes ». La certification se fera sur une base purement volontaire, mais une fois effectuée, le respect des Principes sera obligatoire. La certification devra être renouvelée annuellement.
Voies de recours des citoyens européens
Les entreprises auront 45 jours pour traiter les plaintes des citoyens européens concernant l’utilisation de leurs données personnelles. Si le différend persiste, la personne concernée peut avoir recours aux modes alternatifs de résolution des différends, qui comprendront notamment une procédure gratuite. De plus, les citoyens européens peuvent demander l’intervention de leur autorité de protection des données personnelles nationale (en France, la CNIL). Celle-ci travaillera de concert avec le département du commerce américain et la FTC aux fins de s’assurer que les plaintes fassent l’objet d’une enquête et soient résolues. En dernier ressort, les affaires non résolues pourront être soumises à arbitrage. Par ailleurs, les sociétés américaines pourront s’engager à respecter les directives des autorités européennes de protection des données personnelles. Ceci sera imposé aux sociétés traitant de données en matière de ressource humaines.
Les principes[2]
Les Principes Fondamentaux traitent (a) de l’obligation d’informer, (b) du droit à un opt-out, (c) la responsabilité pour les transferts ultérieurs, (d) la sécurité des données (e) de l’intégrité des données et la proportionnalité, (e) du droit d’accès, (f) des recours, des sanctions et de la responsabilité.
Une série de Principes Complémentaires traite (a) des données sensibles, (b) de la liberté de la presse, (c) de la responsabilité secondaire (par ex. absence de responsabilité pour les sociétés « qui se contentent de transmettre, router, commuter ou garder en cache l’information »), (d) de l’exécution d’audits et de vérifications, (e) du rôle des autorités de protection des données personnelles, (f) du détail du processus de d’auto-certification, (g) de la vérification des pratiques des sociétés, (h) du détail du droit d’accès des personnes concernées, (i) des données en matière de ressources humaines, (j) des contrats obligatoires en cas de transfert ultérieur ou de transfert aux USA vers un sous-traitant (k), de la résolution des différends et des sanctions (détails des mécanismes de recours, des actions et des sanctions, de l’action de la FTC, des manquements persistants), (l) du timing de l’opt-out , (m) du traitement des données de voyage, (n) des données en matière de recherche médicale, de produits de santé et autre, (o) des registres publics et données publiquement disponibles, et (p) des demandes d’accès des autorités publiques.
Administration
Le Privacy Shield sera administré par l’Administration du Commerce International du département du commerce américain (International Trade Administration ou « ITA ») et le paquet inclut une lettre de l’ITA décrivant les engagements du département du commerce américain (a) ayant pour objet d’assurer que le Privacy Shield soit effectif et (b) relatifs au nouveau mode d’arbitrage pour la résolution de conflits sous le Privacy Shield. Les engagements des autorités publiques américaines
Font aussi partie du paquet, les lettres des organismes américains suivants :
- Le FTC[3] et le département du transport[4], décrivant leur mise en œuvre du Privacy Shield;
- La direction du renseignement national (Office of the Director of National Intelligence, ODNI), relative aux garanties et limitations qui s’appliqueront aux autorités de sécurité américaines[5] ;
- Le département d’État, décrivant l’engagement d’établir un nouvel Ombudsman (médiateur) du Privacy Shield pour toute demande concernant les agissements en matière de renseignent sur les transmissions (US signals intelligence) [6] ; et
- Le département de la justice, concernant les garanties et limitations s’imposant aux accès du gouvernement américain à des fins répressives ou d’intérêt public[7].
Étapes suivantes et incertitudes
Comme mentionné et reconnu par Mme Pritzker dans sa lettre de couverture, les prochaines étapes seront l’examen par les autorités de l’UE et l’évaluation du caractère « adéquat » de ces mesures. Il n’y a pas de délai précis encadrant le processus. Les avis du groupe de l’article 29 ou G 29 (qui regroupe les autorités de protection des données de l’UE) sera déterminant à cet égard. Le G 29 entend compléter son analyse avant la fin du mois de mars. La décision d’adéquation de la Commission européenne qui existe déjà à l’état de projet[8] devra ensuite être adoptée et approuvée par le groupe de l’article 31 (regroupant les États membres de l’UE). Toute demande de modification substantielle nécessitera de nouvelles négociations.
Les options actuelles : clauses types et BCR
Dans l’attente de la finalisation de ce processus les clauses types, le consentement et les BCR apparaissent toujours comme des options valables. Leur viabilité à plus long terme pourrait dépendre de la façon dont le G 29 évalue l’adéquation du Privacy Shield sur la base les principes identifiés par la CJUE dans l’affaire Schrems (Voir notre ALERTE : La CJUE invalide le programme de sphère de sécurité dit Safe Harbor).
Contact : stephanie.faber@squirepb.com
[1] Commissaire européenne en charge de la Justice, des droits des consommateurs et de l’égalité hommes-femmes. [2] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-2_en.pdf [3] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-4_en.pdf [4] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-5_en.pdf [5] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-6_en.pdf [6] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-3_en.pdf [7] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-7_en.pdf [8] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf